利用反病毒软件开展恶意活动：Dharma勒索软件分析

概述

Dharma勒索软件自2016年以来一直存在，该勒索软件持续瞄准全世界范围内的用户和组织，并已经成功实现了大量感染。在2018年11月，勒索软件感染了位于德克萨斯的一家医院，对医院主机中大量存储的记录进行加密，该事件也随即成为一起知名的勒索病毒攻击事件。但幸运的是，医院没有支付赎金，并且成功恢复了所有被破坏的数据。Trend Micro近期使用一种新型技术，发现了新的Dharma勒索软件样本。该样本使用软件安装来分散用户的注意力，从而帮助隐藏恶意活动。

Dharma勒索软件攻击者滥用反病毒工具

我们对Dharma勒索软件的新样本进行了分析，分析显示，该恶意软件仍然通过恶意邮件实现分发。具体而言，他们使用的是典型的恶意邮件模式，该邮件会诱导用户下载文件，一旦用户点击邮件中附带的下载链接，就会在获取文件之前提示他们输入密码（在电子邮件中提供）。

Dharma勒索软件感染链：

下载的文件是名为Defender.exe的自解压压缩包，在运行该自解压文件后，会投放恶意文件taskhost.exe以及重命名为Defender_nt32_enu.exe的旧版本ESET AV Remover（反病毒软件）的安装程序。经过我们的分析，发现taskhost.exe属于Dharma勒索软件，该恶意软件被检测为RANSOM.WIN32.DHARMA.THDAAAI。中国菜刀

为传播Dharma勒索软件所发送的恶意邮件：

运行自解压的压缩包（Defender.exe）：

其中，旧版本的ESET AV Remover安装程序的初始扫描未经修改。因此，勒索软件在加密受害者设备上的文件的过程中，会利用该反病毒软件来转移用户的注意力。当自解压压缩包运行后，Dharma就开始在后台加密文件，并开始ESET AV Remover的安装。用户在屏幕上将会看到ESET GUI，这样一来更不容易察觉潜在的恶意活动。天空彩

软件安装过程进一步降低了用户察觉勒索软件活动的可能性：

软件安装与恶意软件运行是两个不同的实例：

AV Remover是一个可以使用的工具，用户在运行该工具后，将会完成界面非常熟悉的安装程序。但是，即使安装程序没有启动，勒索软件仍然会加密文件。恶意软件与软件安装是在两个不同的实例上运行，因此二者在是否成功运行方面没有实际关联。

ESET安装程序文件具有一个有效的数字签名，这也有助于我们后续的监测：

回顾历史，网络犯罪分析也曾经滥用过真实的工具。但最近，借助安装程序弹出的合法界面来转移用户的注意力，是网络犯罪分子正在尝试的另一种方法。这个新版本的恶意软件，旨在欺骗用户，并允许勒索软件在后台秘密操作。由于恶意软件作者持续采用分层逃避检测的策略和一些高级的恶意技术，因此用户还需要使用更强大、更智能的安全解决方案来保护其资产。

ESET的反应

ESET在本文发布之前，获悉了此项研究结果，并发表了如下回复：

本篇文章介绍了将恶意软件与合法应用程序捆绑在一起的做法，这一方法此前也被大量使用过。在Trend Micro本次发现的案例中，使用了官方的、未经修改的ESET AV Remover。但是，任何其他应用程序都有可能被恶意软件作者所利用。这个应用程序被用作诱饵应用程序，其主要目的是分散用户的注意力。ESET的威胁检测工程师已经发现，一些相关的勒索软件样本，与合法文件或被篡改/解密/破解的文件共同压缩在同一个自解压的压缩包之中。

在本次案例中，勒索软件会在我们的Remover应用程序运行后立即执行，但是Remover包含一些提示，需要等待用户进行交互，因此在勒索软件完全执行之前，没有机会移除任何反病毒解决方案。

如何抵御勒索软件

目前，人们已经越来越多地意识到勒索软件的危害，并采用安全厂商为组织和用户提供的增强型安全解决方案，这些都会导致勒索软件感染数量的持续下降。然而，正如新的Dharma样本所证明的那样，许多恶意行为者仍在尝试升级旧威胁，并使用新的技术。勒索软件仍然是一种代价高昂且具有多样化的威胁。在本月的早些时候，一个勒索软件家族被发现针对易受攻击的Samba服务器发动攻击。这种特定的勒索软件首先针对受害者网络中附加的存储设备发起攻击，然后才发展为针对其他设备。

用户和组织应该采用良好的网络安全防护方案，从而抵御此类威胁。我们建议用户和组织遵循以下安全建议：

1. 使用安全的电子邮件网关，阻断垃圾邮件或恶意邮件的威胁，避免打开可疑的电子邮件。

2. 定期备份重要文件。

3. 保证系统和应用程序的更新，针对较旧版本或无法修复的操作系统或软件，使用虚拟补丁。

4. 实施权限最小化原则，对攻击者可能滥用的系统管理工具进行安全加固，实施网络划分和数据分类，以最大限度减少核心数据和敏感数据的进一步暴露，禁用可被攻击者作为突破口的第三方组件或过时组件。

5. 实施深度防御，应用程序控制或行为检测等额外的安全机制，有助于阻止攻击者对系统的异常修改或异常文件执行。

6. 在组织内部培养员工的安全意识。

IoC

Defender.exe

SHA-256：a5de5b0e2a1da6e958955c189db72467ec0f8daaa9f9f5ccc44e71c6c5d8add4

检测：Ransom.Win32.DHARMA.THDAAAI

taskhost.exe1         

SHA-256：703b57adaf02eef74097e5de9d0bbd06fc2c29ea7f92c90d54a0b9a01172babe 

检测：Ransom.Win32.DHARMA.THDAAAI

Defender_nt32_enu.exe1

SHA-256：0d7e4d980ae644438ee17c1ea61ac076983ec3efb3cc9d3b588d2d92e52d7c83

检测：（合法文件）ESET AV remover    

packager.dll

SHA-256：083b92a07beebbd9c7d089648b1949f78929410464578a36713033bbd3a8ecea

检测：（合法文件）                  

panmap.dll  

SHA-256：9ada26a385e8b10f76b7c4f05d591b282bd42e7f429c7bbe7ef0bb0d6499d729

检测：（合法文件）        

sspisrv.dll    

SHA-256：f195983cdf8256f1d1425cc7683f9bf5c624928339ddb4e3da96fdae2657813d

检测：合法文件                        

sstpsvc.dll   

SHA-256：39d3254383e3f49fd3e2dff8212f4b5744d8d5e0a6bb320516c5ee525ad211eb

检测：合法文件